close

UNVERBINDLICHES ERSTGESPRÄCH VEREINBAREN

Oder buchen Sie hier direkt einen Termin

userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Mit dem Wirksamwerden der DS-GVO im Mai 2018 ist die Nachfrage nach qualifizierten Datenschutzbeauftragten stark gestiegen. Bis heute entwickelt sie sich auf hohem Niveau. Daher ist die Ausbildung zum Datenschutzbeauftragten generell lohnenswert – sowohl aus Sicht der nachfragenden Unternehmen als auch für die angehenden Fachkräfte. In der Praxis gibt es rund um die Ausbildung allerdings einiges zu beachten.

Das Wichtigste in Kürze

  • Datenschutzbeauftragter ist kein klassischer Ausbildungsberuf. Die Datenschutzgesetze fordern nur eine „ausreichende Qualifikation“.
  • Ob ein interner Datenschutzbeauftragter aus Unternehmenssicht günstiger ist als ein externer, lässt sich pauschal nicht sagen.
  • Interne Datenschutzbeauftragte genießen eine arbeitsrechtliche Sonderstellung und sind quasi unkündbar.
  • Stichwort Haftung: Unternehmen bleiben als verantwortliche Stellen im juristischen Sinne immer verantwortlich.
  • Der Beruf des Datenschutzbeauftragten ist sowohl inhaltlich als auch finanziell attraktiv.

In diesem Beitrag

Wann darf man sich Datenschutzbeauftragter nennen?

Datenschutzbeauftragter ist kein klassischer Ausbildungsberuf. Die Berufsbezeichnung ist daher wenig reguliert. Immerhin hat das Landgericht Ulm schon 1990 im sog. „Ulmer Urteil“ die Tätigkeit eines Datenschutzbeauftragten als eigenständigen Beruf geregelt und Kriterien für die Fachkunde festgelegt. Weiterhin schreibt die Datenschutzgesetzgebung in Form der DS-GVO vor, dass betriebliche Datenschutzbeauftragte über eine ausreichende Qualifikation verfügen müssen. Dazu zählen neben umfassenden Kenntnissen des Datenschutzrechts und seiner Anwendung (einschließlich technischer und organisatorischer Maßnahmen) auch die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen. Hinzu kommen vielfältige branchenspezifische Kenntnisse. Diese Qualifikation lässt sich beispielsweise durch entsprechende Ausbildungsnachweise belegen. Auch wenn manche dieser Ausbildungszertifikate unbegrenzt gültig sind, muss sich der Datenschutzbeauftragte dennoch kontinuierlich weiterbilden. Auch die Rechtsprechung entwickelt sich schließlich kontinuierlich weiter und aktuelle Urteile oder Empfehlungen der Aufsichtsbehörden haben deutliche Auswirkungen auf die betriebliche und berufliche Praxis.

Wie lange dauert die Ausbildung zum Datenschutzbeauftragten?

Nicht-Juristen müssen eine Ausbildung zum Datenschutzbeauftragten absolvieren und sich zertifizieren lassen. Bei der Dauer der Ausbildung reicht das Spektrum von dreitägigen Crashkursen über flexibel abrufbare Onlineseminare und einwöchige Schulungen bis hin zu mindestens 16-tägigen Intensivkursen vor Ort. Alle Ausbildungskonzepte bereiten auf die Fachkundeprüfung vor und schließen damit ab.

Wer bildet Datenschutzbeauftragte aus?

Zu den wichtigsten Anbietern gehören Industrie und Handelskammern sowie technische Überwachungsvereine wie der TÜV Süd und DEKRA. Hinzu kommen Anbieter auf dem freien Markt – in Deutschland ist dies allen voran die UDIS gGmbH in Ulm. UDIS genießt in Fachkreisen den besten Ruf. Zu Recht: Die gemeinnützige Gesellschaft ist seit 1987 in der Ausbildung von Experten für Datenschutz und IT-Sicherheit aktiv und hierzulande der Pionier für die Ausbildung von zertifizierten fachkundigen Datenschutzbeauftragten.

Gut zu wissen: Die UDIS vergibt an Absolventen ein eigenes Gütesiegel, das sogenannte „udiszert“. Wer alle Prüfungen besteht, darf das mit einer ID-Nummer versehene Gütesigel als fachkundiger Datenschutzbeauftragter führen. Vorteil: Anhand der ID-Nummer können Unternehmen auf der UDIS-Website jederzeit einsehen, wie lang das Zertifikat noch gültig ist. Dies erhöht für Unternehmen die Sicherheit bei der Auswahl und Benennung eines externen Datenschutzbeauftragten.

Was ist günstiger: einen Mitarbeiter zum Datenschutzbeauftragten auszubilden oder einen externen Dienstleister zu benennen?

Auf diese Frage gibt es keine pauschale Antwort. Beide Varianten haben ihre Vor- und Nachteile. Ein interner Datenschutzbeauftragter kennt die Strukturen und Prozesse der Organisation und hat kurze Dienstwege. Ein externer Datenschutzbeauftragter muss das Unternehmen und seine Prozesslandschaft erst einmal kennenlernen: meist mithilfe von Audits und in Gesprächen. Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte bei jeder datenschutzrelevanten Veränderung informiert und eingebunden wird – das kann die Nutzung einer neuen Software sein, eine Produktinnovation oder der Einbau einer Zugangsschleuse.

Erfahrungsgemäß funktioniert die Einbindung des externen Datenschutzbeauftragten bei prozessorientierten Unternehmen recht gut. Unterstützung benötigen eher Firmen, die sich Auftrags- und Output-orientiert organisieren. Bei diesen muss der Datenschutzbeauftragte intern gut vernetzt sein oder mithilfe geeigneter Tools und Maßnahmen sicherstellen, dass er informiert und eingebunden wird.

Vorteile bietet ein externer Datenschutzbeauftragter im Hinblick auf die Personalressourcen, die Aus- und Weiterbildungspflichten und die technische Ausstattung. Externe Anbieter müssen diese Voraussetzungen auf eigene Kosten schaffen und entwickeln. Bei einer internen Lösung kommen auf das Unternehmen dagegen schwer kalkulierbare Kosten zu: für die Ausbildung und Zertifizierung eines Mitarbeiters, für regelmäßige Fortbildungen, Bücher, Spesen sowie für die zeitweise Freistellung des Mitarbeiters. Schon bei kleinen Betrieben kann dies schnell mal 50 Prozent der Arbeitszeit kosten. Zudem benötigt ein interner Datenschutzbeauftragter, ähnlich wie Betriebsräte, eine räumliche und technische Geschäftsausstattung, auf die der Arbeitgeber keinen Zugriff hat.

Mehr zum Thema:

Was kostet ein externer Datenschutzbeauftragter?

Was sollten Sie bei der Benennung beachten?

Die Vor- und Nachteile einer internen oder externen Lösung

Haben interne Datenschutzbeauftragte arbeitsrechtlich eine Sonderstellung?

Unabhängigkeit gehört zu den Voraussetzungen für die Arbeit eines externen und auch internen Datenschutzbeauftragen. Er übernimmt Managementaufgaben, berät, überwacht, berichtet und informiert – auch die Aufsichtsbehörde, wenn datenschutzrelevante Vorfälle zu melden sind. Dies erfordert hohes Durchsetzungsvermögen in der Zusammenarbeit mit der Geschäftsführung und den Kollegen. Interne Datenschutzbeauftragte genießen daher besonderen Kündigungsschutz. Die Benennung zum Datenschutzbeauftragten ist der Aufsichtsbehörde schriftlich mitzuteilen. Das Mandat gilt – im Zweifelsfall sogar über eine etwaige Kündigung hinaus.

Kann jeder Mitarbeiter betrieblicher Datenschutzbeauftragter werden?

Die Ausbildung zum qualifizierten Datenschutzbeauftragten und das Fachkunde-Zertifikat kann jeder machen. Aber nicht jeder im Unternehmen darf die Funktion des betrieblichen Datenschutzbeauftragten ausfüllen. Ausgenommen sind Geschäftsführer, Personalleiter oder IT-Verantwortliche. Bei diesen Personen bestehen klare Interessenskonflikte. Infrage und häufig zum Einsatz kommen in dieser Funktion aber interne Justiziare, Complianceleiter und Informationssicherheitsbeauftragte.

Es ist nicht zielführend, in Teilen der Wirtschaft aber leider immer noch verbreitet, kurzerhand Mitarbeiter ohne Verwendung für das Unternehmen auf ein Seminar zu schicken und als interne Datenschutzbeauftragte zu benennen oder auf dieser Position zu parken. Wer als Unternehmen so handelt, verhält sich fahrlässig.

Wer haftet eigentlich für Schäden, der Datenschutzbeauftragte oder das Unternehmen?

Es kommt darauf an. Juristisch ist und bleibt immer das Unternehmen die verantwortliche Stelle. Es muss vor der Benennung eines Mitarbeiters oder externen Dienstleisters zum Datenschutzbeauftragen sicherstellen, dass dieser über die nötige Qualifikation und Fachkunde verfügt. Wer dies nicht tut, verstößt bereits mit der Benennung gegen die DS-GVO!

Achtung: Bei einem Verstoß gegen Datenschutzgesetze hat das Bußgeld immer das Unternehmen zu zahlen. Mit entsprechenden Nachweisen kann es auf zivilrechtlichem Weg aber versuchen, sich die Bußgeldzahlungen vom Datenschutzbeauftragten zurückzuholen. Bei einem internen Datenschutzbeauftragten ist dies nur eingeschränkt möglich. In puncto Haftung sind Unternehmen mit einem externen Datenschutzbeauftragten oftmals besser beraten.

Welche Kompetenzen und Fähigkeiten sollte ein Datenschutzbeauftragter mitbringen?

Wer die Ausbildung zum Datenschutzbeauftragten absolvieren und in dieser Rolle erfolgreich sein will, sollte ein gutes Sprachverständnis und hohes Abstraktionsvermögen mitbringen. Allein die DS-GVO umfasst in Deutschland 173 Erwägungsgründe sowie 99 Artikel. Hinzu kommen die 86 Paragrafen des aktuellen Bundesdatenschutzgesetzes. Diese bilden den Rahmen, hinzu kommen regalmeterweise Kommentierungen und immer wieder neue Urteile, die es zu rezipieren und verstehen gilt.

Den juristischen Rahmen und die gesetzlichen Vorgaben sollte ein Datenschutzbeauftragter für seine Kunden bzw. Kollegen im Unternehmen verständlich erklären und in die Praxis übersetzen können. Dies erfordert zudem ein sehr hohes technisches Grundverständnis – etwa im Hinblick auf die Rechteverwaltung in IT-Systemen, auf Backups, Kryptografie oder die Funktionsweise von Firewalls.

Wieviel verdient ein Datenschutzbeauftragter?

Finanziell lohnt sich die Ausbildung: Berufsanfänger dürfen Jahresgehälter zwischen 50.000 und 60.000 Euro erwarten. Bei externen Datenschutzbeauftragten sind Tagessätze von 1.200 Euro üblich. Allerdings gibt es auf dem freien Markt große Spielräume. Einige Dienstleister treten bereits für 120 Euro am Tag an, andere verlangen weit über 3.000 Euro.

Woran erkennen Unternehmen einen qualifizierten externen Datenschutzbeauftragen?

Zwar sind die Ausbildung und der Beruf des Datenschutzbeauftragten kaum geregelt, es gibt aber Berufsverbände, deren Mitglieder sich einem schriftlich fixierten beruflichen Leitbild verpflichten. Dazu gehören beispielsweise der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Können externe Dienstleister ihre Mitgliedschaft in diesen Verbänden nachweisen, ist dies schon mal ein guter Indikator für Qualität und das Vorliegen der nötigen Qualifikationen.

Dennoch gehen die Empfehlung und der dringende Rat an alle Unternehmen, sich vor der Benennung eines externen Datenschutzbeauftragten einen Nachweis der Fachkunde und geeignete Referenzen vorlegen zu lassen. Ein seriöser Dienstleister wird diese Nachweise gerne erbringen, kann absolvierte Fort- und Weiterbildungen belegen und seine Kompetenzen anhand von Referenzen glaubhaft machen.

 

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München